Создайте запрос на подпись сертификата (CSR) с адресом электронной почты в Go

Я попытался сгенерировать CSR с помощью пакета «crypto/x509» и не нашел способа добавить поле «emailAddress» в его тему.

Согласно документации структура CertificateRequest имеет поле "EmailAddresses []string", но оно сериализовано. в расширение SAN. Вот тестовый код, который я использовал: http://play.golang.org/p/OtObaTyuTM

Также я создал CSR с помощью программы «openssl req» и ​​сравнил результаты:

% openssl req -in openssl.csr -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=AU, ST=Some-State, L=MyCity, O=Company Ltd, OU=IT, CN=domain.com/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (512 bit)
                Modulus:
                    00:a3:05:e3:37:63:f9:8b:d0:37:46:2d:a8:d9:26:
                    4e:be:83:1d:b9:30:88:2b:80:4b:53:cc:7c:01:86:
                    b0:9b:1d:3b:0a:05:c4:56:47:4e:5d:90:f9:5a:29:
                    8b:9a:7f:fa:4b:5e:e4:5d:dd:c6:8b:87:33:c4:b4:
                    fa:6b:b4:67:bd
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha1WithRSAEncryption
         0b:24:6e:0a:f9:bf:23:d7:41:5f:96:da:78:d1:99:18:fb:d6:
         71:7e:79:f0:02:e9:8a:50:a9:00:32:df:26:14:2f:f4:3e:c4:
         22:c9:5c:4e:79:c1:c2:22:1b:2a:da:79:6f:51:ba:8a:12:63:
         27:02:4a:b3:22:97:59:f7:6e:d6
===============================================================
 % openssl req -in golang.csr -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=AU, O=Company Ltd, OU=IT, L=MyCity, ST=Some-State, CN=domain.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (512 bit)
                Modulus:
                    00:ac:b6:51:5b:53:44:44:20:91:da:01:45:72:49:
                    95:83:78:74:7c:05:f9:a7:77:88:02:3a:23:5f:04:
                    c3:69:45:b9:5a:bb:fd:e7:d3:24:5f:46:14:b8:7d:
                    30:ce:a0:c6:ea:e3:3b:ec:4c:75:24:cc:ce:60:1d:
                    e9:33:57:ae:21
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Subject Alternative Name:
                email:[email protected]
    Signature Algorithm: sha256WithRSAEncryption
         a1:c1:b7:80:a0:f0:c3:b6:44:06:f4:ad:12:3a:67:19:fa:84:
         34:22:2a:d9:56:d9:8b:c9:a4:d0:cf:8d:a1:36:87:fa:75:b7:
         05:40:0a:15:1f:72:61:85:a8:09:bc:f4:13:e6:24:5e:2e:b7:
         99:e3:93:53:4e:2d:d5:0c:22:fc

На мой взгляд, я должен сам создать поле RawSubject с oid emainAddress, но я не нашел примеров кода. UPD: решение найдено. Как я уже упоминал выше, поле RawSubject нужно подготовить вручную:

subj := pkix.Name{
                CommonName:         cn,
                Country:            []string{c},
                Organization:       []string{o},
                OrganizationalUnit: []string{ou},
                Locality:           []string{l},
                Province:           []string{s},
}
rawSubj := subj.ToRDNSequence()
rawSubj = appendRDNs(rawSubj, []string{e}, oidEmailAddress)
asn1Subj, err := asn1.Marshal(rawSubj)
template := x509.CertificateRequest{
            RawSubject: asn1Subj,
            SignatureAlgorithm: x509.SHA1WithRSA,
}

куда:

  • var oidEmailAddress = asn1.ObjectIdentifier{1, 2, 840, 113549, 1, 9, 1}
  • appendRDNs() определен в crypto/x509/pkix (поскольку его имя не начинается с заглавной буквы, оно не экспортируется по умолчанию, вы можете просто определить его снова как свою собственную функцию с помощью копирования и вставки).

go ssl x509 csr
person mephist    schedule 25.09.2014    source источник

Ответы (3)


arrow_upward
19
arrow_downward

Я знаю, что мефист сам ответил на свой вопрос, но он оставил кое-что, что нужно собрать воедино. Итак, для полноты (и потому что я приземлялся здесь дважды за последние 2 года...) Вот полный рабочий пример: https://play.golang.org/p/YL_qfPe4Zz

package main

import (
    "crypto/rand"
    "crypto/rsa"
    "crypto/x509"
    "crypto/x509/pkix"
    "encoding/asn1"
    "encoding/pem"
    "os"
)

var oidEmailAddress = asn1.ObjectIdentifier{1, 2, 840, 113549, 1, 9, 1}

func main() {
    keyBytes, _ := rsa.GenerateKey(rand.Reader, 1024)

    emailAddress := "[email protected]"
    subj := pkix.Name{
        CommonName:         "example.com",
        Country:            []string{"AU"},
        Province:           []string{"Some-State"},
        Locality:           []string{"MyCity"},
        Organization:       []string{"Company Ltd"},
        OrganizationalUnit: []string{"IT"},
    }
    rawSubj := subj.ToRDNSequence()
    rawSubj = append(rawSubj, []pkix.AttributeTypeAndValue{
        {Type: oidEmailAddress, Value: emailAddress},
    })

    asn1Subj, _ := asn1.Marshal(rawSubj)
    template := x509.CertificateRequest{
        RawSubject:         asn1Subj,
        EmailAddresses:     []string{emailAddress},
        SignatureAlgorithm: x509.SHA256WithRSA,
    }

    csrBytes, _ := x509.CreateCertificateRequest(rand.Reader, &template, keyBytes)
    pem.Encode(os.Stdout, &pem.Block{Type: "CERTIFICATE REQUEST", Bytes: csrBytes})

}
person Jeremy Jay    schedule 02.08.2016
comment
Сегодня существует более простой способ добавления элементов в pkix.Name без необходимости маршалинга ASN.1 и замены RawSubject: добавьте pkix.AttributeTypeAndValue в поле ExtraNames. Это было добавлено в Go 1.5. Обновленный рабочий пример: play.golang.org/p/znBDXC7C978 - person Joe Shaw; 16.05.2018
comment
Кроме того, я думаю, что вводить адрес электронной почты в поле EmailAddresses неправильно. Это добавит его как SubjectAltName -- это для указания DNS-имен и IP-адресов, для которых сертификат будет действителен. По моему опыту, я не видел CSR, которые размещали бы там адреса электронной почты. (Он больше предназначен для подписанных электронных писем, таких как S/MIME.) - person Joe Shaw; 17.05.2018

arrow_upward
18
arrow_downward

Это вариант ответа Джереми, который использует некоторые новые дополнения в Go с момента его ответа, а также исправляет то, что я считаю быть ошибкой. (Для получения дополнительной информации см. мои комментарии к его посту.)

Вот ссылка на рабочую игровую площадку для приведенного ниже кода.

package main

import (
    "crypto/rand"
    "crypto/rsa"
    "crypto/x509"
    "crypto/x509/pkix"
    "encoding/asn1"
    "encoding/pem"
    "os"
)

var oidEmailAddress = asn1.ObjectIdentifier{1, 2, 840, 113549, 1, 9, 1}

func main() {
    keyBytes, _ := rsa.GenerateKey(rand.Reader, 1024)

    emailAddress := "[email protected]"
    subj := pkix.Name{
        CommonName:         "example.com",
        Country:            []string{"AU"},
        Province:           []string{"Some-State"},
        Locality:           []string{"MyCity"},
        Organization:       []string{"Company Ltd"},
        OrganizationalUnit: []string{"IT"},
        ExtraNames: []pkix.AttributeTypeAndValue{
            {
                Type:  oidEmailAddress, 
                Value: asn1.RawValue{
                    Tag:   asn1.TagIA5String, 
                    Bytes: []byte(emailAddress),
                },
            },
        },
    }

    template := x509.CertificateRequest{
        Subject:            subj,
        SignatureAlgorithm: x509.SHA256WithRSA,
    }

    csrBytes, _ := x509.CreateCertificateRequest(rand.Reader, &template, keyBytes)
    pem.Encode(os.Stdout, &pem.Block{Type: "CERTIFICATE REQUEST", Bytes: csrBytes})

}

Основные отличия:

  • Вместо сериализации темы и использования поля RawSubject добавьте поле адреса электронной почты в фрагмент pkix.Name ExtraNames (добавлено в Go 1.5).
  • Адрес электронной почты должен быть закодирован как ASN.1 IA5String, а не как PrintableString или UTF8String. Вот почему нам нужно использовать asn1.RawValue.
  • Не добавляйте адреса электронной почты в поле CertificateRequest EmailAddresses, которое задает SubjectAltName (SAN). Они предназначены больше для таких вещей, как подписанные электронные письма. В контексте сертификатов TLS сети SAN следует использовать для альтернативных действительных имен хостов и IP-адресов.

(Обновление от 14 06 2018: Value изменено с string на asn1.RawValue. OpenSSL отклоняет CSR, сгенерированные иначе, поскольку сериализованное кодирование ASN.1 emailAddress должно быть IA5String, а не PrintableString или UTF8String. .)

person Joe Shaw    schedule 17.05.2018

arrow_upward
0
arrow_downward

Просто поместить его в CommonName?

CommonName:         "domain.com/[email protected]",

Тема: C=AU, O=Company Ltd, OU=IT, L=MyCity, ST=Some-State, CN=domain.com/[email protected]

person pram    schedule 26.09.2014
comment
Я проверил ваше решение. Согласно источнику openssl, поля CN и emailAddress имеют свои выделенные oid («2.5.4.3» и «1.2.840.113549.1.9.1» соответственно), поэтому простое добавление электронной почты к CommonName — неправильный путь. - person mephist; 29.09.2014